+6 Daumen
128 Aufrufe


1. EinfĂŒhrung

Auch komplexe (schwer zu knackende) Passwörter entfalten ihre Wirksamkeit nur dann, wenn der Mensch diese Informationen auch sicher aufbewahrt. In der Praxis haben sich ausgeklĂŒgelte Methoden zum Passwortdiebstahl etabliert, die sich aus den der Psychologie entstammenden Erkenntnissen ĂŒber das menschliche Verhalten ableiten. WĂ€hrend einige solcher Social Engineering Angriffe eine lĂ€ngere Vorlaufzeit benötigen (z.B. zum Aufbau von Vertrauen oder AutoritĂ€tsetablierung), kommen andere wiederum fast ohne Vorbereitung aus. Hierzu zĂ€hlt das Shoulder Surfing („Schulter-Surfen“), das vermutlich jeder schon einmal bewusst oder unbewusst durchgefĂŒhrt hat. In diesem Artikel klĂ€ren wir, wie dieser Angriff funktioniert und welche Gegenmaßnahmen man ergreifen kann.

2. Wie funktioniert ein Shoulder-Surfing Angriff?

Wie der Name bereits vermuten lĂ€sst, erfolgt der Angriff durch einen Blick ĂŒber die Schulter des Opfers auf z.B. dessen Smartphone. Es handelt sich um eine triviale Technik, mit der noch so komplexe Informationssicherheitsvorkehrungen ausgehebelt werden können. Durch neu aufkommende Technologien wie Datenbrillen (Google Glass) könnte dieser Angriff zukĂŒnftig weiter optimiert werden und das Gefahrenpotential weiter steigen. Sollten diese Brillen standardmĂ€ĂŸig mit einer Videoaufnahmefunktion ausgestattet sein, könnte man das mitgeschnittene Material dazu nutzen, um fernab des „Tatorts“ aus den Fingerbewegungen oder Gesten der Opfer Passwortkombinationen zu errechnen. Ich beobachte an der Kasse immer wieder, dass Menschen wĂ€hrend einer Kartenzahlung bei der Eingabe ihrer Geheimzahl weder hinter sich schauen, noch ihre Gestik einzuschrĂ€nken versuchen, sodass man mit ein wenig Übung leicht erraten kann, welche Zahlen eingegeben wurden.

3. Was erhoffen sich die Angreifer?

ErspÀht werden sollen dabei

- PINs (z.B. von Bankkonten),

- KontostÀnde (um z.B. wertvolle Angriffsziele zu ermitteln),

- Passwörter, die den Zugang zu diversen Social Media Plattformen gewÀhren,

- Telefon-/Handynummern,

- Adressdaten oder

- andere sensitive Informationen,

von denen man nicht möchte, dass sie in fremde HÀnde gelangen oder von fremden Augen gesehen werden.

4. Wo finden Shoulder-Surfing Angriffe statt?

Im Prinzip kann es einen ĂŒberall treffen. Beliebte Orte fĂŒr diesen Angriff sind z. B.

- FlughÀfen,

- Restaurants,

- Internetcafés,

- öffentliche Verkehrsmittel oder

- Festivals,

da sich dort ĂŒblicherweise viele Leute auf engem Raum aufhalten und hier eine erhöhte Wahrscheinlichkeit fĂŒr die Interaktion mit IT-Systemen (Smartphone, Tablet, ...) besteht. Durch die großen Menschenmengen und die sich daraus ergebenden Möglichkeit der Tarnung verdĂ€chtiger Blicke, bleibt man als Angreifer zudem weitestgehend anonym.

Shoulder-Surfing kann auch zur Vorbereitung eines grĂ¶ĂŸer angelegten Angriffs genutzt werden, bei dem der Social Engineer in ein Unternehmen eingeschleust werden soll, um dort GeschĂ€ftsgeheimnisse zu stehlen. Weiß man z.B., wo sich die GeschĂ€ftsleitung regelmĂ€ĂŸig zum Mittagessen trifft, kann man sich selbst in den „Monitor Mode“ versetzen und so Informationen ausspĂ€hen, die zum Aufbau von Vertrauen genutzt werden können (Whatsapp-Kontaktnamen, Urlaubsziele, ...).

5. Wie kann man sich schĂŒtzen?

Mögliche Sicherheitsmaßnahmen können sein:

- Mit dem RĂŒcken zur Wand stehen/sitzen.

- Verwendung von Bildschirmfiltern (Ă€hnlich wie bei Bankautomaten), mit denen man das seitliche Sichtfeld einschrĂ€nken kann. Ein Nachteil hierbei ist jedoch, dass man sich dadurch evtl. noch attraktiver fĂŒr einen Angreifer macht, da dieser die damit verbundene Intention erkennt und annimmt, dass es hier „etwas zu holen“ gibt.

- Bei Verdacht, dass man beobachtet wird: Laptop zuklappen/Smartphone wegpacken. Dies darf auch etwas auffÀlliger geschehen, da der Angreifer dadurch bemerkt, dass er entdeckt wurde. Im Unterschied zum Verwenden des Bildschirmfilters, der grundsÀtzlich alle Personen sichtfeldtechnisch aussperrt, richtet sich diese Aktion meist direkt gegen den Social Engineer, was eine unauffÀllige Informationsgewinnung unmöglich macht.

Am effektivsten schĂŒtzt man sich jedoch, indem man keine privaten oder geschĂ€ftlichen AktivitĂ€ten im öffentlichen Raum fĂŒr alle sichtbar erledigt! Das hilft dabei, seine privaten Informationen auch tatsĂ€chlich privat zu halten!


Das Mitglied hat durch den Artikel 50 Bonuspunkte erhalten. Schreib auch du einen Artikel.
von 9,0 k

Zu diesem Thema fÀllt mir dieser Prototyp ein (2016):

Weißer Screen fĂŒr alle, jedoch kann der TrĂ€ger der Brille mit Chip den Screen sehen.

Ich hoffe, das kommt bald auf den Markt.

Das ist der wohl effektivste Schutz gegen "Shoulder-Surfing" (nach dem Daheim-Lassen des Smartphones/Tablets versteht sich ;-)). Vielen Dank fĂŒr diesen Beitrag! :-)

Cooler Artikel ! :)

Meiem Artikel zum Shoulder-Surfing Angriff habe ich jetzt auch (endlich) ein Video gewidmet :)

Bitte logge dich ein oder registriere dich, um die Frage zu beantworten.

Ein anderes Problem?

Stell deine Frage

Willkommen bei der Stacklounge! Stell deine Frage sofort und kostenfrei

x
Made by a lovely community
...